2021-02-04 分類: 網(wǎng)站建設(shè)
踏實實驗室推出萬字長篇文章,踏實君結(jié)合十年團(tuán)隊經(jīng)驗和二十年從業(yè)經(jīng)驗深度整理和剖析了網(wǎng)絡(luò)安全防御體系如何有效建立,推薦閱讀預(yù)計20分鐘。
數(shù)字時代是由物理的和非物理組成的
1999年-2019年干了20年網(wǎng)絡(luò)安全防御體系,形形色色的見多了,直到今年6月才感覺有點兒網(wǎng)絡(luò)安全大眾化的意思了。具體表現(xiàn)在人們覺得這是個事兒了,原來不問的開始問了,不干的開始干了,虛干的實干了,嗯,理解萬歲,意識的轉(zhuǎn)變確實需要很長一段時間,就像每個國家政策出臺落地都需要3-5年。
中興華為事件、委內(nèi)瑞拉大面積停電、美國對伊朗的網(wǎng)絡(luò)戰(zhàn)已經(jīng)不斷觸動了人們神經(jīng),又經(jīng)歷了有實戰(zhàn)有價值的攻防演練。例如HW,確實促進(jìn)了很多行業(yè)組織各層面安全意識的提升,促進(jìn)了實實在在安全防御策略的落地,多個視角(攻擊者紅方和防御者藍(lán)方)看問題總是好的。只有經(jīng)歷了疼才知道痛是啥滋味,尤其是HW排名靠后的……以攻促防推動做好安全防御是個極好的方法,數(shù)字時代真安全價值才大,這次同樣也是打假的過程,安全圈不大,這幾年快成了娛樂圈了,300億的市場再這么折騰下去變200億了。
進(jìn)入5月開始,安服事務(wù)應(yīng)急的事兒多了,主要是因為HW,6月白天晚上的電話多了,好像急救中心電話一樣,中招的多了就不會消停,每個電話都是急茬,我和團(tuán)隊就像大夫,總是先建議電話那頭冷靜冷靜請他敘述癥狀。然后就是聽到各種各樣的“病情”,VPN被滲透,郵箱被暴力破解,內(nèi)網(wǎng)被拿下,更有嚴(yán)重者業(yè)務(wù)數(shù)據(jù)被勒索軟件鎖定(這一定是混水摸魚的),聽完后大體診斷,開藥方安排人抓藥……總體感覺,好多問題其實完全可以提前做好工作,不用這麼著急的手足無措的睡不好覺。這些年一直想寫些東西(安全情懷安全落地),也沒時間,現(xiàn)在突然感覺大家意識可能真的到了。這個文章根據(jù)多年網(wǎng)絡(luò)安全防御服務(wù)經(jīng)驗和經(jīng)歷,寫個如何建立能睡個安穩(wěn)覺的網(wǎng)絡(luò)安全防御體系思路吧,供大家參考。
意識意識意識,意識第一位,意識第一位,其他第二位,有問題的,有大問題,有嚴(yán)重問題的基本都是意識出問題了,不是技術(shù)出了問題。某國家單位首次被攻破被通報要求盡快整改,由于意識問題領(lǐng)導(dǎo)沒重視資源沒到位。第二天馬上又被攻破領(lǐng)導(dǎo)急了開始重視了,每天開始抓工作清點防護(hù)體系,工具,組織,策略,發(fā)現(xiàn)了大量的沒有的安全防護(hù)工具沒有啟用,策略沒落地,問中層領(lǐng)導(dǎo),中層才意識到好多文件下達(dá)的都是空的,眼前的寶貝沒使用也沒落實。第三天再次被攻破,問題又在基層技術(shù)管理人員重視邊界,忽視內(nèi)網(wǎng)域策略和管理員密碼。甲方邀請我們一起做了復(fù)盤,總結(jié)的第一點就是這個,意識,意識,意識,不痛不長心啊。
不僅僅是這個案例,他只是一個代表,我和團(tuán)隊經(jīng)歷的這樣案例太多了,今年轉(zhuǎn)變的特別的多,很欣慰大家都正常的接受了。這兩年我們的匯報對象已經(jīng)從原來的處長主任們逐步匯報到部長層面了也確實體現(xiàn)了這一點。
三人是個概念的代表,第一人是領(lǐng)導(dǎo)(組織中網(wǎng)絡(luò)安全第一責(zé)任人),第二人是CSO首席安全管理者(總體安全策略計劃制定者),第三人是一線的網(wǎng)絡(luò)安全防御團(tuán)隊(PDCA執(zhí)行安全策略落地和運行)。
三者缺一就會有坑,缺的多坑多,被攻擊后就一定會死,只是死的快慢的問題。不重視肯定不行,重視且有文件沒執(zhí)行不行,有執(zhí)行方向不對也不行。安全就是不斷的填坑,完善這個其實就是很難的過程。
國內(nèi)具備網(wǎng)絡(luò)安全防御體系經(jīng)驗和實戰(zhàn)的人才本來就很稀缺,所以坑多也是自然的,網(wǎng)絡(luò)安全防御體系龐大而復(fù)雜,能洞悉全貌者也很少,格局,眼界,層次。單槍匹馬獨擋一面的大俠也不少,但更多需要的是三人綜合體系,這些年見到的有些決策者的格局真不行,水平一般還限制下面人員的發(fā)展,例如(某某組織的某某領(lǐng)導(dǎo),呵呵),有些領(lǐng)導(dǎo)者看問題水平真高,就是中層執(zhí)行力就一直太差。例如(某行業(yè)單位的網(wǎng)絡(luò)安全負(fù)責(zé)人,估計HW結(jié)束就被拿下了)…一線干活的安服人員其實很多還是挺好的樸實踏實,但也怕好經(jīng)壞和尚,政府機(jī)關(guān)有時候就這體制沒辦法人也換不了,形形色色確實很難見到很好有效三人體系。
1999年剛考完MCSE被推薦到一家提供互聯(lián)網(wǎng)服務(wù)的公司,服務(wù)的客戶就是現(xiàn)在阿里巴巴的客戶。在中美兩地進(jìn)行網(wǎng)上商業(yè)貿(mào)易和宣傳的(幾百K的帶寬哪個慢啊),我們小組的工作就是幾百臺服務(wù)器群的大網(wǎng)管,確保服務(wù)器(NT和FreeBSD)運行穩(wěn)定防止被黑。剛?cè)胨綜TO吳先生就給我們小組一本厚厚的手冊,從服務(wù)器OS,WEB, FTP,遠(yuǎn)程管理軟件等的標(biāo)準(zhǔn)安裝,每一步每一層的安全策略設(shè)置,每一個系統(tǒng)軟件服務(wù)的關(guān)停判斷,每一個多余端口的關(guān)閉,每一個賬戶的謹(jǐn)慎開啟,每一個系統(tǒng)和應(yīng)用的補(bǔ)丁,每一個Admin/ ROOT的更名,權(quán)限,強(qiáng)密碼,一臺服務(wù)器基本安全設(shè)置完成,基本是一天……回憶當(dāng)年做純粹技術(shù)的美好日子,一轉(zhuǎn)眼原來小組成員只有我還在干安全,直到現(xiàn)在仍然感謝吳先生和安全小組帶給我最原始最體系化的防御手段和原理,就是安全策略落地。在當(dāng)年的安全攻防戰(zhàn)中我們防御的確實不錯,估計現(xiàn)在已經(jīng)沒有人記得2000年還有一波互聯(lián)網(wǎng)的高潮,懷念和E國一小時、人人、當(dāng)當(dāng)、易趣等戰(zhàn)斗的故事,當(dāng)年我的QQ號應(yīng)該還是5位數(shù)。
20年來,持續(xù)走在網(wǎng)絡(luò)安全防御的路上,體會到不同的領(lǐng)域和境界,技術(shù)無敵到技術(shù)都不在是問題的時候,看到的往往是其他問題。數(shù)字時代需要考慮的內(nèi)容是綜合的,頂層設(shè)計和系統(tǒng)的梳理和體系化落地等包羅萬象。網(wǎng)絡(luò)安全防御體系方法論隨著時代的發(fā)展我們已經(jīng)更新了第四版(2019版),網(wǎng)絡(luò)安全防御體系建立的核心目標(biāo)就是風(fēng)險可控,大家參考用吧。
網(wǎng)絡(luò)安全防御體系方法論V2019版
官話不說了,核心就是當(dāng)領(lǐng)導(dǎo)的要知道本組織的信息系統(tǒng)(資產(chǎn))的重要性,服務(wù)的場景對象是啥,組織要明確需要保護(hù)的對象(安全方針就是掂量掂量重要不重要)。投入持續(xù)人、財、物、服務(wù)和必要的合規(guī)工具和安全管理及運營工具(安全策略就是組織建立不建立、啥線路、掂量掂量投多少銀子),這層做好了方向不會出大問題,基本可以打30分了。原理能這樣想網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)不多,經(jīng)過HW的檢驗,估計未來慢慢會多起來了。
按照管理層明確的保護(hù)對象方向等級,給予人、財物、資源制定具體的工作計劃,沒有規(guī)矩不成方圓,制度要有,要建立可靠的安全組織(自己人十安全服務(wù)資源池)。制定安全執(zhí)行策略,具體制度落地策略,建設(shè),運行,持續(xù)稽核,這層做好了,至少40分了(提醒:好多地方都是空制度,現(xiàn)在的經(jīng)驗制度十平臺結(jié)合是可落地的)。一個明白道理的高情商的安全處處長基本上可以走上正確的方向了,知道如何承上啟下,和領(lǐng)導(dǎo)說明白和一線的團(tuán)隊做好策略的去落地,隨著發(fā)展信息安全首席安全官未來應(yīng)該是個炙手可熱的職位。
有了上兩層的基礎(chǔ),接下來開展工作就好辦多了,如果沒有上面兩層的支持這個階段基本是不可行的,網(wǎng)絡(luò)安全保障體系建設(shè)一定是圍繞業(yè)務(wù)和數(shù)據(jù)的,俗稱“業(yè)務(wù)+數(shù)據(jù)定義安全戰(zhàn)略”確定好保護(hù)對象和級別,需要協(xié)同,需要按照三同步原則(同步規(guī)劃設(shè)計、同步建設(shè)、同步運行),選擇好規(guī)劃服務(wù)商、建設(shè)服務(wù)商,踏實規(guī)劃,體系逐步實現(xiàn)。說的簡單,其實這些個環(huán)節(jié)一個出問題,就是坑坑相連,能按照這些環(huán)節(jié)都下來順利的不多。
這些年看到大的坑有兩個,一個是不了解業(yè)務(wù)和數(shù)據(jù)掄起來就瞎設(shè)計(可恨,比如國家級的某一體化平臺),一個是生搬硬套的安全合規(guī)標(biāo)準(zhǔn)(可憐,比如某啥啥潮的),多維的業(yè)務(wù)需要多維的防護(hù),設(shè)計不好就會導(dǎo)致降維防護(hù),做不好就是個豆腐渣工程。 HW打癱的目標(biāo)對象基本上一種是不合規(guī)的,另一種是假合規(guī)或者階段合規(guī)持續(xù)不合規(guī)。
安全管理及運營
從Struts2的漏洞爆出和coremail的0day,主流應(yīng)用框架的選擇,尤其是對外提供服務(wù)的Web和mail,一旦底層出大的安全問題了,會導(dǎo)致整個系統(tǒng)都需要重新構(gòu)建了。由于很多開發(fā)者不回去考慮安全性的問題,往往從易用和易構(gòu)建的角度去考慮,系統(tǒng)和底層架構(gòu)是緊耦合的不可輕易分離,嚴(yán)重漏洞的出現(xiàn),不能修補(bǔ),勉強(qiáng)弄弄安全運行也有問題,不修補(bǔ)也不能再上線了。這個問題出現(xiàn)后只能重新架構(gòu)和開發(fā)了,經(jīng)濟(jì)損失極大,這也是我們12年經(jīng)歷的血淋淋的教訓(xùn)。
這個點也是幾個案例的體現(xiàn),主要提醒大家IT主流品牌一定是APT攻擊者的重點,因為發(fā)現(xiàn)一個0DAY,基本上和挖到金礦一樣,我們經(jīng)常在網(wǎng)絡(luò)安全防御體系建設(shè)中看到品牌一致性的要求。從統(tǒng)一管理的角度上來說也是對的,但一旦出現(xiàn)0day或者被攻破,基本上就是全軍覆沒,充其量就是個馬奇諾防線,而且大廠的OEM產(chǎn)品太多,其實每個安全廠商真正的安全能力不會超過3-5個,其他都是非重點能力。一個安全能力沒有3-5年的研究研發(fā),不可能成功的。這些年我們總結(jié)經(jīng)驗就是大眾品牌選擇部署可以在外圍,解決復(fù)雜管理和高性能、高可靠性,在核心數(shù)據(jù)區(qū)或者關(guān)鍵管理區(qū)選擇小眾的品牌,或者多層異構(gòu)。例如:在新**全國大網(wǎng)的設(shè)計上,縱深防御選擇了6個品牌(非OEM)的紅、黃、藍(lán)區(qū)、數(shù)據(jù)、管理、業(yè)務(wù)在不同層,有解決性能為主的,也有解決高安全性為主的、也有解決高策略最小原則穩(wěn)住的,可能都是防火墻,設(shè)計時也會有不同的側(cè)重點。管理和安全性一定是平衡使用的。
同類型功能不同能力者的異構(gòu)其實在管理者眼里是麻煩的,但在攻擊者眼里同樣也是麻煩的,如果做好落地,呵呵,累死Y的。例如防火墻多層異構(gòu)解決避免一網(wǎng)通殺、防護(hù)策略失效的問題,防病毒網(wǎng)關(guān)、桌面防病毒和沙箱郵件追溯異構(gòu)解決病毒木馬、釣魚郵件的交叉檢測和查殺,威脅情報和弱點管理不同供應(yīng)商的異構(gòu)解決風(fēng)險管理的全面化,多重身份認(rèn)證和特權(quán)賬號不同認(rèn)證異構(gòu)解決被輕易獲取權(quán)限一路暢通,陷阱和蜜罐的異構(gòu)設(shè)置可以讓攻擊到內(nèi)網(wǎng)的黑客一頭霧水??傊?,不同的安全能力之間的多角度異構(gòu)的靈活應(yīng)用會給APT攻擊者一路障礙,這些花不了多少經(jīng)費,但確實有效,唯一的就是給管理者有一定難度,需要將統(tǒng)一管理的平臺做好。
無論你用的是多高級的病毒軟件和木馬查殺軟件,記住一點,任何高級貨制作出來的第一步就是跑一遍所有的主流病毒和木馬查殺軟件。一個好的馬,制作不容易,傳輸不容易,運行不容易,弄不好還被反控了,所以高級馬是不容易對付的,加上中國在EDR領(lǐng)域一家廣告公司獨大,其他基本被消滅,這幾年才出現(xiàn)一些新能力,所以,一家主流的免殺后,高級馬基本上解決了大部分的問題。
也許你沒聽說過的方法未來都會出現(xiàn),一個外賣小哥、一個保潔阿姨,一個好久不聯(lián)系的朋友到了辦公區(qū),他們離開的時候,會留下繼續(xù)進(jìn)來的U盤狀的無線發(fā)射器當(dāng)作跳板,一個供應(yīng)商送入的一批服務(wù)器和交換機(jī)在芯片上有可能的后門。有個電視劇叫做“密戰(zhàn)”,建議大家看看,一個外包的軟件開發(fā)商交付的代碼中間有隱藏的不應(yīng)該的代碼,一個離職的安全管理員仍然可以撥入VPN,用root權(quán)限獲取數(shù)據(jù)……這些都是現(xiàn)在以及未來可以發(fā)生的。
網(wǎng)絡(luò)社會,EID的認(rèn)證和識別是關(guān)鍵中的關(guān)鍵,互聯(lián)網(wǎng)個人隱私泄密太多,通過社工的方式可以輕易獲取一個既定目標(biāo)的網(wǎng)絡(luò)行為方式(網(wǎng)絡(luò)習(xí)慣、網(wǎng)絡(luò)id、網(wǎng)絡(luò)密碼)。人的習(xí)慣是很難改變的,所有認(rèn)證的用戶名,密碼總是那么幾個,一但破解全網(wǎng)通吃,HW期間碰到的單認(rèn)證方式和特權(quán)用戶被拿下,其實還沒用到社工這種高級貨。說白了,我們現(xiàn)在的政府企業(yè)每個單位先檢查一遍全網(wǎng)的特權(quán)用戶管理就明白了,70%的特權(quán)用戶就是沒有被管理、被監(jiān)控,更別說其他的用戶了。
數(shù)字中國萬云時代,萬種場景、萬物互聯(lián),大數(shù)據(jù)、大平臺、大系統(tǒng)的建設(shè)模式是中國現(xiàn)在以及未來的模式,政務(wù)服務(wù)一體化、行業(yè)監(jiān)管一體化、城市大腦運行一體化、工業(yè)智能一體化。不可否認(rèn),數(shù)字中國急切需要打通數(shù)據(jù)孤島,公共服務(wù)更便捷、效率更高、更智能、更便捷、行政監(jiān)管更準(zhǔn)確、更有效,數(shù)據(jù)越聚合越重要,黑市價值越高,攻擊者越多,保障體系就越需要更緊密,不得不形成“大安全大運維”的合成能力保障體系,才能確保業(yè)務(wù)的安全穩(wěn)定運行。產(chǎn)品堆砌的時代以及過去了,服務(wù)才是真價值,安全服務(wù)高級人才稀缺會更大。聽說HW駐場的人有一天一萬的,恭喜安全人才價值提高了不少。
世界的安全,未來會是中國式的和非中國式的,看好數(shù)字中國的開啟模式,百花齊放,開源開放萬種場景、萬云時代、萬物互聯(lián)、(云、數(shù)據(jù)、應(yīng)用、智能、智能制造、泛在感知、小到一個人的吃穿住行,到一個城市的實時運行,到一個社會的公共安全、到一個行業(yè)的智能發(fā)展,離不開新模式、新技術(shù)、新應(yīng)用。同時一個十幾億人口的大國也必將走向自主可控,中國式網(wǎng)絡(luò)安全會走向和世界不同的方向,也會越來越務(wù)實。
中國網(wǎng)絡(luò)安全產(chǎn)業(yè)相比國際同行處于弱勢,在國家高度重視網(wǎng)絡(luò)安全的背景下依然難以依靠自身力量快速做大做強(qiáng),持續(xù)下去將在國際網(wǎng)絡(luò)對抗中愈發(fā)落后,最終損害對關(guān)鍵信息基礎(chǔ)設(shè)施的有效保護(hù)能力。
當(dāng)前我們雖然也面臨資金不足、人才匱乏,但更需要有好的環(huán)境,好的平臺,好的政府扶持政策,通過網(wǎng)絡(luò)安全產(chǎn)業(yè)的供給側(cè)改革讓更多的創(chuàng)新者、創(chuàng)業(yè)者,通過統(tǒng)一窗口、統(tǒng)一平臺有機(jī)會展現(xiàn)創(chuàng)新能力,在網(wǎng)絡(luò)安全科技領(lǐng)域中不斷貢獻(xiàn)力量,通過基于實戰(zhàn)的靶場演練,不斷提升國家關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)水平。
2018、19年參加了幾次工信部和WXB關(guān)于網(wǎng)絡(luò)安全產(chǎn)業(yè)的調(diào)研會,圈子里的專家其實共識度還是挺高的明白人不少,大部分觀點不說了就說創(chuàng)新這一件事情,把它做透了就需要很多方面的合力。比如國外的合作是A.B公司的能力疊加,在國內(nèi)就是大品牌的OEM,鼓勵小品牌,新能力的合作。比如國內(nèi)公共靶場的建立,讓大家創(chuàng)新能力有練兵之地,總不能違法亂紀(jì),也不能閉門造車吧,比如建立國家級的生態(tài)化安全能力展示平臺和中心。讓大家都有露臉的秀肌肉的地方…..供給側(cè)的改革,確實需要百花齊放和有效的政策扶持。
現(xiàn)在的攻防大賽、武器庫、漏洞庫,不管是為了實戰(zhàn)還是演習(xí),攻擊方現(xiàn)在已經(jīng)新型攻擊武器平臺化武器庫快速有效滲透,說白了已經(jīng)是集團(tuán)軍作戰(zhàn)了,下圖示意一下,呵呵,不代表其他意思。
圖10:數(shù)字時代是由物理的和非物理組成的
現(xiàn)在我們看到的大部分行業(yè)、企業(yè)的網(wǎng)絡(luò)安全防御現(xiàn)狀基本上是民兵式的,沒有正規(guī)的組織建制、沒有持續(xù)的和合適的后勤保障,沒有先進(jìn)的防御和反擊工具和武器,未來這種防御體系基本上都是炮灰,不信明年HW見。
“民兵式”網(wǎng)絡(luò)安全防御體系
這個是我們最近對于未來5年的研究方向的框架確定,有些涉及到商業(yè)秘密不方便公開說了,有興趣的一起交流,也可以一起加入進(jìn)來,為自己、為企業(yè)、為國家做些事情。
踏實實驗室研究成果網(wǎng)絡(luò)綜合防御平臺框架
列完提綱也陸陸續(xù)續(xù)的利用業(yè)余時間寫了20天,也算一氣呵成,不是寫書寫論文所以隨性了些,畢竟是網(wǎng)絡(luò)安全有些地方意會大于言傳。也確實還有好多的話也沒說完,比如云安全的誤區(qū)、比如數(shù)據(jù)流動安全監(jiān)管的未來、比如工業(yè)安全的坑,比如說信息安全、網(wǎng)絡(luò)安全、數(shù)字安全的區(qū)別……以后在和大家一起討論吧,文章中的案例和思考都是團(tuán)隊這些年的經(jīng)歷,肯定也有很多不見得大家都認(rèn)同的地方,歡迎指正。期望未來中國網(wǎng)絡(luò)安全產(chǎn)業(yè)更好,畢竟我的青春獻(xiàn)給了這個產(chǎn)業(yè)20年,也想用本文紀(jì)念和致敬一下過去的20年。
標(biāo)題名稱:如何建立有效的網(wǎng)絡(luò)安全防御體系
文章分享:http://jinyejixie.com/news/99114.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供手機(jī)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、關(guān)鍵詞優(yōu)化、定制網(wǎng)站、靜態(tài)網(wǎng)站、企業(yè)網(wǎng)站制作
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容